ここから本文です

Windows 10で「ポリシー制限がどうなっているのか」まとめ(エンタープライズ向け)

@IT 7月12日(火)6時10分配信

●ポリシーでストアアプリの起動をブロックするには?

 Windows 10 バージョン1511で「ストア(Windowsストア)」の使用を禁止するには、次のポリシーを有効にします。

【その他の画像】AppLockerを使用すると、特定のアプリだけを許可/拒否できる

・コンピューターの構成(またはユーザーの構成)\管理用テンプレート\Windows コンポーネント\ストア\ストア アプリケーションをオフにする

 このポリシーにより、ストアアプリを起動しようとすると「ストアのアプリはブロックされています ITまたはシステム管理者にお問い合わせください。」というメッセージが表示されるようになります。

●Windows 10 Proではポリシーが無視される?

 実は、この「ストア アプリケーションをオフにする」ポリシーでストアアプリをブロックできるのは“Windows 10のEnterpriseとEducationだけ”になります。本来なら、Windows 10 Proでもブロックされるはずなのですが、「ブロックされないという既知の不具合」があります。詳しくは、以下のマイクロソフトのサポート技術情報をご覧ください。

・Can't disable Windows Store in Windows 10 Pro through Group Policy[英語](Microsoft Support)

 この問題の回避策としては、後述する「Windowsストアからすべてのアプリを無効にする」(※)ポリシーを使用する方法があります。

【※】Windows 10が最新の状態に更新されていない場合は「Disable all apps from Windows Store」という名前です。最近のWindows Updateで日本語化されました。

●Windows 10の初期リリースにはポリシーが存在しない?

 「コンピューターの構成(またはユーザーの構成)\管理用テンプレート\Windows コンポーネント\ストア」にあるポリシーは、Windows 10 バージョン1511から利用可能になりました。Windows 10の初期リリース(2015年7月リリースのビルド10240)には、「ストア」の項目自体が存在しません。

 Windows 8/8.1までは、このポリシーに「ストア」の項目がありました。Windows 8/8.1では、「WinStoreUI.admx」という管理用テンプレートがこのポリシーを提供していました。Windows 10の初期リリースからは「WinStoreUI.admx」が削除され、これに代わる管理用テンプレートも提供されませんでした。それが、Windows 10 バージョン1511で「WindowsStore.admx」という名前で復活したのです。

 Windows 10の初期リリースでは、「グループポリシーエディター」で「ストア アプリケーションをオフにする」ポリシーを編集することはできませんが、このポリシーが作成するレジストリ値「RemoveWindowsStore」を手動(コマンド)で作成することで、同様の効果を得られるようになります。

 レジストリ値「RemoveWindowsStore」を作成するには、コマンドプロンプトを管理者として開き、次のコマンドラインを実行します。

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsStore" /v RemoveWindowsStore /t REG_DWORD /d 1 /f

レジストリ値「RemoveWindowsStore」を作成するコマンド

 なお、レジストリ設定によるストアのブロックは、Windows 10 Enterpriseに有効なことは確認しましたが、Windows 10 Proでも有効かどうかは確認していません。Windows 10 Proの初期リリースの場合、Windows 10 Pro バージョン1511と同じ不具合が存在していて、ストアはブロックされないかもしれませんので注意してください。

●ポリシーで全てのストアアプリの起動をブロックするには?

 Windows 10 バージョン1511からは、Windows 8/8.1には存在しなかった次のポリシーが追加され、全てのストアアプリの起動をブロックできるようになりました。

・コンピューターの構成(またはユーザーの構成)\管理用テンプレート\Windows コンポーネント\ストア\Windowsストアからすべてのアプリを無効にする

 全てのストアアプリとは、ストアから取得してインストールしたアプリと、Windows 10にビルトインされていたアプリ(メール、カレンダー、People、カメラ、マップ、電卓、ストアなど)の両方です。「Microsoft Edge」は含まれません。ストアの起動は、このポリシーでブロックすることもできます。

 この「Windowsストアからすべてのアプリを無効にする」ポリシーを使用してアプリをブロックしようとする場合、ほとんどの人が直観的にポリシーを「有効」に設定すると思います。しかし、このポリシーを「有効」にしても、アプリがブロックされることはありません。

 「Windowsストアからすべてのアプリを無効にする」ポリシーを使用してアプリをブロックするには、「無効」に設定します。ポリシー名と動作が矛盾しているようですが、実はこれが正しい設定です。

 ポリシーの説明をよく見ると、「無効に設定すると、プレインストールまたはダウンロードされたすべての Windows ストア アプリの起動を無効にします。アプリは更新されません。ストアも無効になります。有効にするとすべて元に戻ります。」となっています。

 このポリシーによりアプリがブロックされると、アプリを開始しようとしたときに「このアプリは、システム管理者によってブロックされています。詳しくは、システム管理者に問い合わせてください。」というメッセージが表示されます。ただし、ストアの起動に関しては、このメッセージが表示されることなく、ブロックされます。

●筆者注

 筆者が「Windows 10 Pro Insider Preview 14383」で確認したところ、「Windowsストアからすべてのアプリを無効にする」ポリシーの説明に「この設定は、WindowsのEnterprise EditionとEducation Editionのみに適用されます」と追記されていました。

 8月に提供される「Windows 10 Anniversary Update(バージョン1607)」では、「ストアアプリケーションをオフにする」と「Windowsストアからすべてのアプリを無効にする」の両方がEnterpriseおよびEducationエディション用のポリシー設定になり、Proエディションでは「Windowsストアからすべてのアプリを無効にする」ポリシーが使用できなくなる可能性があります。そのため、本稿で説明している「Windowsストアからすべてのアプリを無効にする」ポリシーによる対策はお勧めしません。

●“ストアへのアクセスをオフにする”ポリシーの使い道

 この他、ストア関連のポリシーとしては、次の場所に「ストアへのアクセスをオフにする」ポリシーが存在します。

・コンピューターの構成(またはユーザーの構成)\管理用テンプレート\システム\インターネット通知の管理\インターネット通信の設定\ストアへのアクセスをオフにする

 このポリシーでは、エクスプローラーがファイルの関連付けを判断できない場合に、ファイルを開くアプリの指定を求めるダイアログボックスに「ストアでアプリを探す」を表示するか、表示しないかを構成できます。なお、他のポリシーでストアが既にブロックされるようになっている場合は、「ストアへのアクセスをオフにする」ポリシーを設定しなくても、同様の効果があります。

●AppLockerでアプリを個別にブロックする(Enterprise/Education限定)

 「Windowsストアからすべてのアプリを無効にする」ポリシーによるアプリの制限は、ビルトインアプリを含む、全てのアプリが対象になります。例えば、特定少数のビルトインアプリや、業務用のアプリだけは許可したいという場合もあるでしょう。

 Windows 10 Enterprise/Educationであれば、アプリケーション制限ポリシー「AppLocker」を使用することで、アプリごとの許可/拒否を細かく制御できます。なお、AppLockerはWindows 10 Proではサポートされません。

●筆者紹介 山市良:岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。

最終更新:7月12日(火)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]